1. 介紹

1.1 介紹

如果我們需要一張SSL證書，又不想花錢，又不想麻煩，可以自己製作一個。

自己製作的SSL證書的好處是分分鐘搞定，簡單，快捷。

缺點是證書不受信任，瀏覽器會顯示不安全。

2. 教程

2.1 創建 server.key 文件

openssl genrsa -des3 -out server.key 1024

2.2 創建 server.csr 文件

有六項信息必須填寫，其中「Common Name」就是證書的域名不要寫錯了

命令

openssl req -new -key server.key -out server.csr -config /etc/pki/tls/openssl.cnf

必填項

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:District east
Organization Name (eg, company) [Default Company Ltd]:TONGFU.net
Organizational Unit Name (eg, section) []:TONGFU.net
Common Name (eg, your name or your server's hostname) []:tongfu.net

2.3 創建 ca.crt 和 ca.key 文件

有六項信息必須填寫，其中「Common Name」就是證書的域名不要寫錯了

命令

openssl req -new -x509 -keyout ca.key -out ca.crt -config /etc/pki/tls/openssl.cnf

必填項

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:District east
Organization Name (eg, company) [Default Company Ltd]:TONGFU.net
Organizational Unit Name (eg, section) []:TONGFU.net
Common Name (eg, your name or your server's hostname) []:tongfu.net

如果沒有文件 /etc/pki/CA/index.txt 就創建一個

touch /etc/pki/CA/index.txt

如果沒有文件 /etc/pki/CA/serial 就創建一個

echo "00" > /etc/pki/CA/serial

2.4 創建 server.crt 文件

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config /etc/pki/tls/openssl.cnf

最後會生成如下文件

ca.crt  ca.key  server.crt  server.csr  server.key

2.5 創建免密key文件

創建後使用server.key.unsecure就可以在重啟web服務的時候不需要輸入密碼了

openssl rsa -in server.key -out server.key.unsecure

3. 總結

通過以上的方法就可以隨意製作SSL證書了，通過SSL證書可以給Nginx或者Apache這樣的web服務器配置HTTPS訪問方式。HTTPS方式傳輸是加密的，過程傳輸的數據很難被破解。

不過，由於我們自己製作的證書，我們自己是可以輕鬆解碼的，所以瀏覽器才會提示不安全了。